domingo, noviembre 07, 2010

Entrevista a Fermín del MSRC de Spectra

Hablar de Fermín es hablar de cosas mayores. No mucha gente puede lucir un currículo en seguridad como el suyo. Quizá, sólo con ver su historíal tiene que plantearte dos veces lo que vas a decirle. Es uno de los grandes de esto y es de España y del Raúl Mandrid. Miembro del MSRC de Microsoft, la parte Panda de los Sexy Pandas, uno de los fundadores de S21Sec, creador de EMET y, además, majete y humilde.


Pedazo de fotaco, de izquierda a derecha: Nico Waissman, Fermín J. Serna, Cesar Cerrudo y Esteban M. Fayó

Creo que para Fermín hubiera necesitado 40 preguntas en lugar de 20, para poder abarcar todo lo que sabe y/o ha hecho, pero espero que en estas 20 preguntas, os quede la misma impresión que tengo yo desde que le conocí: Joder!. Fermín, eres uno de esos que nos haces sentir pequeños.

Saludos Malignos!

1.- Mucho técnicoless dice que en Spectra no sabéis de seguridad ¿cuántos boletos de lotería jugaste para acabar en el MSRC?

¿Qué decir? Me siento orgulloso de haber pasado dichas pruebas. Es cierto, para entrar en MSRC hay que pasar unos largos minutos de pruebas tales como sudokus, hundir la flota y, en el caso de aspirar a manager, nunca entrarás sin pasar por el filtro del karaoke.

Aquí nunca verás que te den un documento malicioso de office y te pregunten donde está el shellcode. Ni mucho menos que les digas “el root cause” de cuando ese documento misteriosamente ejecuta una calculadora. Tampoco te darán un caso real de MSRC para que lo explotes. No, de eso amigo… nada… aquí somos profesionales :)


2.- Y ... ¿cómo se puede hacer de MSRC en la BlackHat y al día siguiente enfundarse la camisa de los Sexy Pandas e ir a partirse el pecho en el CTF de la Defcon?

La verdad que fácil no es. En este puesto siempre estás mirado con lupa, aún en tu tiempo libre. Nunca dejas de ser un representante del equipo de seguridad de Microsoft. Incluso, sin haber vendido el alma y queriendo distanciarte en tu tiempo libre, mucha gente no lo distingue y te acribilla a preguntas, afirmaciones categóricas contra tu rol/persona ante el que un humilde servidor responde: “nos tomamos unas cervezas, me cuentas a que te dedicas y, ¿jugamos los dos al mismo juego?”.

Afortunadamente, mis amigos y la gente que voy conociendo saben diferenciar estas dos facetas.


3.- Cuanto más conozco de tu pasado profesional más me acojonas... ¿Fundador en S21Sec? ¿Spectra? ¿Vendiendo Firewalls? Cuéntame estas cosas.

Es cierto, a veces pienso que mi vida un tanto normal no ha sido…

Lo de S21SEC fue hace ya bastante tiempo. Estaba yo en primero de carrera e intentando organizar unas conferencias de seguridad en Mallorca desde Madrid. Un buen día, un gran tipo, Mikel que en paz descanse, nos propuso poner un poco de dinero para el evento. Ya en el evento, a mí y a otro chico nos tentó con montar una empresa de seguridad en torno a nosotros… 6 meses más tarde me mudé a San Sebastian y nació S21SEC.

Allí duré unos dos años y por motivos personales (básicamente quería acabar mi carrera) me volví a Madrid a montar NGSEC. Hacía de todo… pentester, desarrollador, vendedor, contable, puta, botella de JB, … y era un 25/8 por lo que, y para los telecos, me sobraba -1 hora y -1 día para mis asuntos propios.

En NGSEC, llegué a vender software en Japón a gran escala. Experiencia peculiar y rara pero cierta… que requiere un libro por sí misma. Acabé mi carrera y en una de mis -1 horas libres de repente me llama un recruiter de Microsoft. En su perfecto inglés: “Oye majo, ¿te vienes a Seattle a entrevistarte con nosotros? “. Y uno que está loco empezó su andadura por Microsoft… de esto ya 4 años.


4.- ¿Cómo vive un exploiter en el MSRC?

Mal, muy mal… aquí no se hacen exploits… se arreglan fallos. Peeeeero, como uno es curioso y se mete en jaleos tal como EMET, en tiempo libre hago exploits e intento estar al día en técnicas de explotación y mitigación.

Realmente, es ésta mi pasión, saltarme mitigaciones desarrollar otras nuevas y, en general, los retos. Una vida sin retos y sin aprender… no es vida para mí.

5.- ¿Y cómo vive un exploiter en el MSRC con un iPAD?

Yo tengo un ipad, iphone, uso Debian… no soy sectario ni me fuerzan a serlo. Eso sí, cuando me preguntan les digo… “Competitive research”.

En Junio me compré un MacBook Pro porque quería aprender de este sistema y su seguridad. El sistema en sí está chulo pero su seguridad deja que desear, y mucho. El que quiera ver “in situ” la razón se la enseño en persona (no me dejan publicar mucho).

6.- ¿Qué has estudiado Fermín para aprender todas estas cosas? ¿Cómo se llega a este nivel?

Yo estudié, y acabé, la Ingeniería superior informática en la UCM (Complu de Madrid). Realmente, te llena ciertos vacíos que uno tenía (y sigo teniendo) pero yo la acabé porque me apetecía aprender. Por ejemplo, el tema de la Inteligencia Artificial me apasionaba por esos días… a ver si saco más tiempo para esos menesteres.

Quitando formación académica, yo creo que o naces curioso o te dedicas a Derecho. Desde muy enano ya programaba en Basic, luego pascal, C, D, E ,F ,G, X…

Leer, practicar, errar, volver a leer y triunfar… aún recuerdo mi primer exploit para lsof y fue tal cual. O las llamadas en medio de la noche, increpándome porque saqué un exploit para el qpop un viernes por la noche… por lo visto a alguien le jorobé las copas y el ligue.


También influye mucho la gente con la que te rodeas. Yo aprendí mucho de la gente de !Hispahack. Un saludo para ellos, que saben quiénes son!

7.- ¿Volverán los Sexy Pandas a pelear por el CTF de la Defcon o vas a jugar otra vez al futbol con el FOCA Team en la HackCup?

Lo de los Sexy Pandas, nunca se sabe. Ni nosotros mismos lo sabemos. Creo que es duro ir a Las Vegas, en tus días de vacaciones, para meterte en una sala, con un ruido ensordecedor, 3 días y no hacer nada más que eso . Multiplícalo por 3 años seguidos y verás el desgaste que hay. Espero que en algún tiempo sea posible… mucho crack hay en este equipo.

Respecto al fútbol, por supuesto, si me invitas.  Siempre he tenido mi equipillo de futbol/futbol7/futbol-sala en Madrid y ahora en Seattle también. No suena muy bien, pero un equipo de rumanos muy majos me ha fichado. No somos buenos, pero nuestra cara de mala leche impresiona. El fútbol es una de mis pasiones… y el Real Madrid… y Raúl cojones!.


8.- ¿Qué sistema operativo usas y cuál usabas antes?

Uso MacOSX, Win7 y Debian. Mac es bonito, funcional pero inseguro. Win7, es bonito funcional y un tanto más seguro. Debian me gusta para servidores. Antes usaba sólo Debian.

9.- Eres parte del alma de EMET, lo presentaste en la RootedCON y ahora el mundo no para de hablar de él desde que le salvó el culo a Adobe. ¿No da vértigo?

Es cierto, y no sólo hemos parado varios massive-exploits de Adobe, sino de Quicktime, el último de Firefox, …

Ha tenido una gran aceptación… y esto es gracias a vosotros los usuarios. Comentarios, quejas, cartas de amor, dinero… a mi twitter @fjserna

Lo curioso de EMET es que no me dedico a esto sino que es un proyecto que empecé en mi tiempo libre. Ahora me dejan un poco más de libertad y tiempo en el tema.


10.- ¿Echas de menos España? ¿Sabes que te he visto más veces en el extranjero que en España?

Echo de menos todo de España. Soy un enamorado de mi país. España no tiene mejor embajador que yo. La familia, amigos, cultura, comida, el Real Madrid, …

Lo que no me gusta mucho es el sistema laboral en España y los sueldos. Parece mentira que Seattle sea un pelo más barato que Madrid y aquí se cobre el doble o más…

Lo que sí me gusta es viajar y conocer nueva gente, culturas y formas de pensar. Es por esto por lo que aprovecho cualquier oportunidad para ir a alguna conferencia de seguridad en la conchinchina… el último caso fue Buenos Aires y la ekoparty… donde no lo pasamos mal, ¿eh?


11.- ¿No tienes la sensación de que el mundo de los fallos de seguridad cada vez va más rápido?

Sí, y no va a parar para esperarme. Desde Septiembre a estos días… analiza la cantidad de 0days en aplicaciones que usamos en el día a día… es increíble.

Cada vez es más complicado encontrarlas y explotarlas, pero la gente que se dedica full-time a esto siempre va un paso por delante.


12.- Venga, seguro que sabes algo... ¿estará EMET integrado de base en Windows 8?

Ojalá! Y no digo más que te tendré que mendigar un puesto de trabajo.

13.- Y cuando no te dedicas a la seguridad informatíca... ¿en qué gastas tu tiempo? ¿Qué te gusta hacer?

Partiendo de la base que la seguridad (el exploiting concretamente) mi pasión, dejo poco tiempo para otras cosas… pero también me gusta mucho el fútbol (practicarlo y verlo) y cualquier deporte en general. Mi otra pasión es viajar, experimentar y aprender algo nuevo cada día.

No soy de salir mucho de fiesta pero de vez en cuando una cena o copas en un lugar tranquilo con una charla interesante…

14.- Venga, recomiéndanos 3 pelis y 3 libros de lectura no técnicos.

Películas: Blade Runner, El Indomable Will Hunting y Lost in Translation.
Libros: El guardián entre el centeno de JD Salinger, Un mundo feliz de Aldous Huxley y Demian de Herman Hesse.


15.- Has conocido a los mejores del mundo... ¿quién te ha impresionado por su forma de ser?

Mi amigo y colega de trabajo skape. El mejor y el más humilde. Una persona que me impresionó y que desafortunadamente ya no está con nosotros: Doing, el mejor que ha habido en España a mi modo de ver. Y últimamente tengo mucho trato con _snagg, Vincenzo Iozzo. Un hacker italiano que explotó el iphone el año pasado en el CanSecWest. 21 años si mal no recuerdo, ahí es nada.

16.- Sé que te gustó Buenos Aires... ¿tendremos que esperar hasta el año que viene para vernos en la Ekoparty?

Bueno, ya que no viniste a Bluehat! No sé si nos veremos en Cancún en Diciembre… H2HC (hackers to hackers conference). Pero, en cualquier, caso iré a Buenos Aires sí o sí… ¡que gente, que comida, que país!

17.- ¿Dónde se te va a poder ver dando una charla próximamente?

Hace unas semanas di una charla en la conferencia de Microsoft: Bluehat. En breve estará mi video online. Por cierto, más de uno (hola Chris/Nico/etc…) me deben cervezas por haber dicho “cyberpompeii” en medio de mi charla.

Como he dicho antes, H2HC en Cancún y posiblemente el año que viene CanSecWest y alguna europea. Aún por decidir y por ser aprobado el tema de la charla.

18.- ¿Qué le recomendarías a alguien que quiera dedicarse profesionalmente a la seguridad?

Depende de dónde en el campo de la seguridad, pero hay un denominador común: tiempo, leer, aprender y por favor… humildad.

19.- ¿Has sido gamer? ¿Has perdido mucho tiempo delante de un monstruo de final de pantalla en especial?

No mucho, de muy pequeño sí. Me gustan mucho los Zelda, y ahora el Mario Kart.
Ayer, justo probé el Kinect en la tienda del empleado y vaya chulada… caerá!


20.- Y la última...¿Por qué el nombre de Sexy Pandas y el nick de Zhodiac?

Yo entré un año más tarde a los Sexy Pandas… obviamente cuando pusieron el nombre pensaron en mi… por lo de Pandas…

Zhodiac viene de mi muy remoto interés por la astronomía y la “h” tiene un sentido especial que me guardo. :)

Como nota final, disculpas a los telecos y los de derecho por haberme metido con ellos… si me conocéis algún día en persona, comprobareis que siempre estoy de broma con el tema.

Podéis visitar su web en http://zhodiac.hispahack.com o seguirle en twitter en @fjserna

9 comentarios:

  1. Este tio es un crack y un ejemplo a seguir ;)

    Saludos y seguid así!

    ResponderEliminar
  2. Grande! La Mafia Ferminesa.Aunque no voy a entrar en el fallo gordo de ser del Madrid.

    ResponderEliminar
  3. !hispaqué??? :) Fermín es de lo mejorcico que hay en España. Bueno, había, que ya se nos fue :)

    ResponderEliminar
  4. Buenas preguntas e interesantes respuestas. También en las películas y libros recomendados.
    Saludos.

    ResponderEliminar
  5. Buena entrevista, y que envidia.

    Hay una cosa que me da rabia de la vida. No se vosotros, pero siempre llegan a ser grande los que ya lo eran de pequeño.
    No me confundáis, el esfuerzo es el engranaje mas importante, pero hace mucho el que de pequeño hayas tenido interés en estos temas. Si no mirad los grandes guitarristas, que antes de masturbarse ya acariciaban los mástiles de sus guitarristas.
    Pues en la informática mas de lo mismo, ojala de pequeño, en vez de playmobiles, me hubieran regalado manuales de C xD. Ahora tendría un gran camino andado. Nota mental: cuando tenga un hijo....

    Un saludo, y gran entrada (y me quito el sombrero ante Fermín)

    ResponderEliminar
  6. hombre cuando tengas un hijo déjalo elegir! no hagas como los padres de antaño... que a lo mejor el chaval quiere ser diseñador de juguetes. Yo decir que también fuí de los que jugué con los playmobil y no veas como desarrollas la imaginación :)

    Buena entrevista. Un crack más..

    ResponderEliminar
  7. "Depende de dónde en el campo de la seguridad, pero hay un denominador común: tiempo, leer, aprender y por favor… humildad."

    Si señor. Esto tenían que tatuárselo a más de uno en la frente.

    Muy buena la entrevista. Este tipo es un fenómeno.

    Un saludo.
    Manolo

    ResponderEliminar
  8. Alguno de vosotros conocio a la gente de Hispahack en persona? A alguien le suena el nick de Arusha¿?

    ResponderEliminar
  9. En persona no, pero Arusha era de las pocas féminas que pilotaban del tema :)

    btw: alguien sabe por donde anda Balhissay? o Pata?

    ResponderEliminar